Spammers utilizan Facebook messenger para difundir Locky #Ransomware (Update)

Si usted recibe a través de cualquier mensaje de Facebook un archivo adjunto de imagen (formato de archivo exactamente .SVG) enviado por cualquiera de tus amigos de Facebook, simplemente evitar hacer clic en él.

 

Existe un ataque masivo de malware entre los usuarios de Facebook, utilizando el Messenger de este sitio, enviando un inocente archivo de imagen .SVG, para infectar las estaciones de trabajo.

Si se hace clic, el archivo finalmente va a infectar su PC con el desagradable Locky ransomware , una familia de malware que se ha convertido rápidamente en una de las herramientas favoritas entre los criminales debido a sus capacidades que infectan.

locky-ransomware-facebook

Esto ha sido descubierto por el investigador de malware Bart Blaze, la campaña de ataque utiliza Facebook Messenger para difundir un programa de descarga malware llamado Nemucod que toma la forma de archivos de imagen .SVG.

¿Por qué archivos SVG? Hackers consideran SVG (Scalable Vector Graphics o) archivos para la difusión del programa de descarga de software malicioso, porque SVG tiene la capacidad de contener contenido incrustado como JavaScript, y se puede abrir en un navegador web moderno.

Los delincuentes añade su código JavaScript malicioso justo dentro del archivo de imagen en sí, que era en realidad un enlace a un archivo externo.

Si se hace clic, el archivo de imagen malicioso que podría redirigir a una página web que imita YouTube, pero con una URL completamente diferente.

Como una forma típica de entregar infección de malware, el sitio empujaría una ventana emergente que le pedirá que descargar e instalar una extensión determinada codec en Google Chrome con el fin de ver el vídeo. La extensión maliciosa utiliza dos nombres, ubo y Uno.

Una vez instalado, la extensión permite a los atacantes modificar sus datos con respecto a los sitios web que visitan, así como se aprovecha de acceso del navegador a su cuenta de Facebook con el fin de enviar en secreto el mensaje a todos tus amigos de Facebook, con el mismo archivo de imagen SVG.

Lo que es aún peor? Peter Kruse, otro investigador de malware y colega de Blaze, señaló que el archivo de imagen SVG que contiene el programa de descarga Nemucod, en algunos casos, a continuación, en última instancia, descarga una copia del Locky ransomware en el PC de la víctima.

Locky ransomware es uno de los ransomware más popular que bloquea todos los archivos en el ordenador de la víctima con RSA-2048 y AES-1024 algoritmos de cifrado y les abre hasta el rescate que se paga a los atacantes.

No está claro en este momento cómo los archivos SVG administrados para eludir el filtro extensión de archivo de lista blanca de Facebook, pero Google y equipo de seguridad de Facebook ya ha sido notificado del ataque.

Cómo quitar las extensiones maliciosas?

Mientras que Google ya ha eliminado las extensiones maliciosas de su tienda Chrome, se espera que Facebook proceda pronto bloquear por completo los patrones de ataques.

 

Actualización:  Un portavoz de Facebook proporcionó una declaración, que dice:

“Mantenemos una serie de sistemas automatizados para ayudar a detener los enlaces y archivos dañinos que puedan aparecer en Facebook, y ya estamos bloqueando estos ficheros de nuestra plataforma. En nuestra investigación, se determinó que éstas no eran, de hecho, la instalación de Locky malware, más bien, estaban asociados con extensiones de Chrome. Nos han informado de las malas extensiones del navegador”.

 

Actualización: Se ha difundido un video para explicar como funciona el malware Locky, que aunque Facebook lo niegue, este sigue siendo enviado.

Leave a Reply

%d bloggers like this: